o Escola de Código Público (EPC)que possui uma plataforma digital que funciona através de um portal epc.gob.mxfoi considerado um iniciativa aberta para formação tecnológica em democracia no México. O projeto busca treinar dezenas de milhares de pessoas gratuitamente em programação de alta demanda, desenvolvimento web e habilidades digitais, com a presença de 32 estados na República e atinge mais de mil municípios. No entanto, por detrás deste esforço de digitalização existe uma questão que raramente é discutida em público: a apresentando aos alunos os riscos de segurança do computador e as vulnerabilidades estruturais que podem danificá-lo suas informações pessoais e segurança digital.
O primeiro nível de risco é inteiramente tecnológico. A análise do site revela fragilidades que, em alguns casos, podem permitir a matando os usuários da plataforma. Um deles corresponde ao Cross-Site Scripting (CVE-2025-1291)uma falha que abre a porta para a injeção de código malicioso nas páginas do portal. Quando esse tipo de ataque ocorre, o código pode ser executado automaticamente no navegador de qualquer aluno que visitar a página comprometida, sem que a vítima precise agir. Em termos práticos, isso pode ser traduzido como roubo de cookie de sessão, acessar credenciais ou informações pessoaisonde o invasor pode sequestrar contas ou coletar dados confidenciais do usuário.
O risco aumenta quando esta vulnerabilidade é combinada com outros componentes do sistema. O endpoint admin-ajax.php é público, usado por muitos sites baseados em WordPresspode facilitar ataques automatizados que exploram falhas em plugins ou funções AJAX no site. Em alguns casos, os invasores podem usar essa rota para realizar campanhas de phishing direcionadas aos próprios estudantes, redirecionar silenciosamente os usuários para sites fraudulentos ou forçar o download de software malicioso em seus dispositivos. Este tipo de vetor é particularmente preocupante num portal que se concentra em milhares de utilizadores em formação, muitos dos quais com experiência limitada em cibersegurança.
Outra situação ainda mais importante ocorre quando O servidor não conseguirá instalar o webshellisto é, programas que permitem que invasores longe do sistema. Nesse caso, os invasores podem acessar diretamente o banco de dados da plataforma e recuperar informações pessoais dos alunos cadastrados. Os dados que podem aparecer estão disponíveis endereço de e-mail, nome completo, credenciais de login e até histórico de navegação no portal e registros de autenticação recebidos. Além do acesso inicial, essas informações podem ser utilizadas para ataques sociais, campanhas fraudulentas ou phishing em outros serviços digitais.
O problema é agravado pela presença de sites governamentais sob o domínio .gob.mx. A confiança depositada pelos cidadãos na esfera oficial do Estado tem um efeito negativo: reduz a percepção de perigo e aumenta a possibilidade de os utilizadores interagirem com conteúdos negativos. se vier de dentro do próprio portal. Um ataque de phishing lançado contra um site institucional, por exemplo, pode ser mais credível do que uma propagação a partir de um domínio desconhecido, aumentando assim o impacto potencial.
A magnitude do problema torna-se mais aparente quando se considera a escala do programa. Segundo dados oficiais, a Escola Pública do Código já registrou mais de 34 mil, dos quais mais de 18 mil continuam estudando ativamente e mais de 10 mil estão em caminho de certificação.. O programa atua em 1.286 municípios e mantém cooperação com mais de 1.600 órgãos, o que significa que qualquer vulnerabilidade descoberta na plataforma pode afetar milhares de usuários em todo o país. Ao nível do ataque, trata-se de uma comunidade digital grande e geograficamente dispersa, dificultando a deteção antecipada do que aconteceu.
Um ambiente social complexo também contribui para estes riscos tecnológicos. Várias organizações alertaram sobre aumento do recrutamento digital de jovens por grupos criminosos, fenómeno que se desenvolve através das redes sociais, dos videojogos online e de outras plataformas digitais. No México estima-se que Cerca de 250.000 menores podem estar em risco de serem levados através destas estratégias. Dado que a EPC se centra em jovens interessados em competências tecnológicas – muitos deles oriundos de situações sociais vulneráveis – cuja fuga de dados ou acesso indevido à informação dos estudantes pode facilitar campanhas de comunicação, sequestros ou manipulação digital.
A exposição deve ser considerada a partir de uma perspectiva territorial. O programa está disponível em todos os países, incluindo países com elevadas taxas de violência, extorsão e disputas territoriais entre grupos criminosos. Isso significa que parte da comunidade estudantil vive em um ambiente onde há pressão de organizações criminosas. Nesta situação, o acesso a informações pessoais ou processos digitais dos estudantes pode tornar-se ferramentas adicionais para atividades ilegais como extorsão, fraude ou roubo de identidade.
O sistema jurídico mexicano impõe obrigações claras às instituições que gerem informações pessoais. A Lei Geral sobre a Proteção de Dados Pessoais Detidos por Obrigações Públicas exige que as agências implementem medidas de segurança adequadas para proteger as informações pessoais dos cidadãos. Além disso, Os incidentes de segurança cibernética nas infraestruturas governamentais devem ser comunicados a agências como o CERT-MX e aos departamentos de auditoria interna relevantes.. Quando se trata de setores educacionais que lidam com informações sobre jovens — e até menores — os padrões de segurança deveriam ser mais rígidos.
O principal problema não é apenas técnico, mas também institucional. A Escola Pública de Código representa uma política pública que visa eliminar a exclusão digital e criar empregos no setor de tecnologia.. No entanto, se a infraestrutura digital que apoia o programa não tiver medidas de segurança robustas e atualizadas, o governo pode tornar-se um local vulnerável no ecossistema digital. A contradição é óbvia: um projeto concebido para formar talentos tecnológicos pode expor os seus alunos a ameaças que se situam principalmente no domínio da cibersegurança.
Por fim, a discussão sobre a segurança de domínios como epc.gob.mx deveria ir além do domínio técnico e tornar-se temas de políticas públicas. A segurança dos dados, a integridade do sistema e a confiança dos utilizadores são elementos essenciais para o sucesso do programa digital do Governo. Num país onde a literacia tecnológica avança rapidamente, mas a cultura de cibersegurança ainda está na sua infância, garantir a segurança destes ambientes não é apenas uma questão de infraestrutura, mas também uma responsabilidade institucional para com os cidadãos que neles confiam.
*Vitor Ruiz. Fundador da SILIKN | Empreendedor de Tecnologia | Coordenador do Subcomitê de Segurança Cibernética da COPARMEX Querétaro | Líder do Capítulo OWASP Querétaro | Especialista Certificado NIST Cybersecurity Framework 2.0 (CSFE) | (ISC)² Certificado em Segurança Cibernética℠ (CC) | Instrutor certificado em segurança cibernética (CSCT) | Fundamentos de Hacking Ético do Conselho da CE (EHE) | Técnico de segurança cibernética certificado pelo Conselho da CE (CCT) | Hacker Ético da Cisco e Analista de Segurança Cibernética.
X: https://x.com/victor_ruiz
Instagram: https://www.instagram.com/silikn
YouTube: https://www.youtube.com/@silikn7599
** Os comentários publicados nesta coluna são de responsabilidade de quem os escreve e não coincidem necessariamente com os editores da Infobae México, respeitando a liberdade dos especialistas.
